近日安華金和數(shù)據(jù)庫(kù)攻防實(shí)驗(yàn)室��,又發(fā)現(xiàn)了一個(gè)DB2數(shù)據(jù)庫(kù)漏洞�。
DB2數(shù)據(jù)庫(kù)存在執(zhí)行任意代碼漏洞�,由不正確的邊界檢查�����,db2pdcfg容易受到基于堆棧的緩沖區(qū)溢出的影響��,允許攻擊者執(zhí)行任意代碼�。
漏洞詳情披露如下:
CVEID: CVE-2018-1897 高危
DESCRIPTION: IBM Db2 db2pdcfg is vulnerable to a stack based buffer overflow, caused by improper bounds checking which could allow an attacker to execute arbitrary code
CVSS Base Score: 8.4
CVSS Temporal Score: See https://exchange.xforce.ibmcloud.com/vulnerabilities/152462 for the current score
CVSS Environmental Score*: Undefined
CVSS Vector: (CVSS:3.0/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H)
截至12月份����,2018年全年由安華金和攻防實(shí)驗(yàn)室挖出的數(shù)據(jù)庫(kù)漏洞數(shù)量共計(jì)22個(gè),其中�����,高危漏洞13個(gè)�,中危漏洞9個(gè);國(guó)產(chǎn)數(shù)據(jù)庫(kù)漏洞16個(gè)�����,國(guó)際數(shù)據(jù)庫(kù)漏洞6個(gè)���。這些成果的取得是基于強(qiáng)大的攻防研究能力��,安華金和一直保持著“以攻促防”的技術(shù)研究思路�����,在數(shù)據(jù)安全領(lǐng)域不做被動(dòng)的規(guī)則響應(yīng)�����,而是主動(dòng)去解鎖攻擊源頭���,讓安全防御工事占據(jù)主動(dòng)地位�����,更利于構(gòu)建成熟而高效的防御體系。
數(shù)據(jù)庫(kù)安全漏洞的研究將一直貫徹?cái)?shù)據(jù)安全的技術(shù)進(jìn)階之路��,隨著大數(shù)據(jù)庫(kù)時(shí)代的到來(lái)�,云平臺(tái)的流行,物聯(lián)網(wǎng)的興起��,數(shù)據(jù)庫(kù)的應(yīng)用范圍越來(lái)越廣泛����,基本上每個(gè)領(lǐng)域都能見到數(shù)據(jù)庫(kù)的影子。從世界500強(qiáng)到各國(guó)政府機(jī)關(guān)����,數(shù)據(jù)庫(kù)在其中扮演著非常重要的角色�,很多重要和敏感的信息都保存其中�����,例如個(gè)人銀行賬號(hào)密碼�、政府機(jī)密資料、軍事核心武器設(shè)計(jì)圖等�����。因此�����,數(shù)據(jù)庫(kù)成為入侵者越來(lái)越有價(jià)值的攻擊目標(biāo)���,一旦獲得數(shù)據(jù)庫(kù)權(quán)限��,入侵者則可以獲得非常有價(jià)值的數(shù)據(jù)��。因此���,確保數(shù)據(jù)庫(kù)以及數(shù)據(jù)庫(kù)中的數(shù)據(jù)安全至關(guān)重要��。而數(shù)據(jù)庫(kù)漏洞作為外部入侵的薄弱環(huán)節(jié)�����,是數(shù)據(jù)泄露的一大重要原因�。因此��,要有針對(duì)的加強(qiáng)數(shù)據(jù)庫(kù)在某些場(chǎng)景下的安全防護(hù)能力����,否則安全將成為數(shù)據(jù)庫(kù)的“阿喀琉斯之踵”。
產(chǎn)品咨詢:4000 258 365 
